重点能力包括动态应用安全测试、交互式应用安全测试。 （1）动态应用安全检测 DAST 通过模拟实际攻击来评估应用程序的安全性。DAST 扫描工具发送恶 意请求和攻击模拟，然后分析应用程序的响应，以检测潜在的漏洞和安全威胁。 这种方法不需要源代码访问，因此适用于已部署的应用程序，可以帮助发现运行 时的安全漏洞。 动态应用安全检测能够对业界常见的安全漏洞类型检测，包括但不限于注入 类、失效身份验证和会话管理、敏感信息泄露、弱口令、XML 读取及目录遍历、CSRF、未经验证的转发和重定向等。 （2）交互式应用安全检测 IAST 能力在业务测试时，模拟运行时可能遭遇的真实攻击，同时分析应用 云原生安全威胁分析与能力建设白皮书 53 程序的执行路径和数据流，以检测潜在的漏洞和安全威胁。能够在应用程序运行 时提供实时的安全分析和漏洞检测，减少误报率，帮助开发人员更准确地定位和 修复安全问题，提高应用程序的安全性和稳定性。 交互式应用安全检测能够对业界常见的安全漏洞类型检测，包括但不限于注 交互式应用安全检测能够对业界常见的安全漏洞类型检测，包括但不限于注 入类、失效身份验证和会话管理、敏感信息泄露、XML 外部实体注入攻击、失 效的访问控制、安全配置错误、XSS、不安全的反序列化、任意文件上传、读取 及目录遍历、CSRF、未经验证的转发和重定向、使用弱加密算法及弱随机数、 使用硬编码凭证、响应头截断、文件包含、jsonp 劫持、服务端模板注入、XPATH 注入、正则表达式拒绝服务攻击等。 4.2 运行时安全能力建设

上下文 搜索 Kibana 导航 搜索编 排 异常知 识库 18 日志AIOps探索 日志最佳实践、拨测系统、智能排障、 AIOps探索 19 案例: 基于Kibana的交互式排障 交互式排障，下钻分析，对比分析，快速定位异常 20 案例:如何基于ELK构建内网拨测系统? 基于Healthbeat与Metricbeat构建分布式、全region覆盖、协议支撑丰富的内网拨测平台

Netherlands Groups）为全球排名前列的资产管理 公司，服务遍及40多个国家，核心业务是银行、保险及资产管理等。引入云原生基础设 施，打造新一代大数据分析自助平台。 客户诉求: • 交互式服务、常驻服务、离线分析业务统一平台调度； • Job级别的调度管理，包括生命周期、依赖关系等； • 支持业界主流计算框架，如Spark、TensorFlow等； • 多用户公平分配资源，快速响应高优先级作业

黑盒测试，通过模拟业务流量发起请求，进行模糊测试，比如故障注入 或者混沌测试 语言无关性，很高的精确度。 难以覆盖复杂的交互场景，测试过程对业务造成 较大的干扰，会产生大量的报错和脏数据，所以 建议在业务低峰时进行。 IAST(交互式应用程序 安全测试) 结合了上面两种的优点并克服其缺点，将SAST和DAST相结合，通过插桩 等手段在运行时进行污点跟踪，进而精准的发现问题。是DevSecOps的一 种推荐方式。 如果在被动模式下运行IAST，那么开发测试过程